Pred niekoľkými dňami bola predstavená nová verzia korekcia populárneho prehrávača médií VLC 3.0.8, v ktorom opravené nahromadené chyby a opravených 13 chýb zabezpečenia.
Z toho tri problémy (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) by mohlo viesť k spusteniu kódu útočníka pri pokuse o prehrávanie multimediálnych súborov špeciálne navrhnuté vo formátoch MKV a ASF (pretečenie vyrovnávacej pamäte pre nahrávanie a dva problémy s prístupom k pamäti po jej uvoľnení).
Na druhej strane štyri chyby vo ovládačoch formátu OGG, AV1, FAAD, ASF sú spôsobené schopnosťou čítať údaje z pamäťových oblastí mimo alokovaného bufferu.
Tri problémy vedú k dereferencii ukazovateľa NULL pri rozbaľovaní formátov dvdnav, ASF a AVI. Zraniteľnosť umožňuje pretečenie celého čísla v rozbaľovači MP4.
O opravených zraniteľnostiach
Vývojári VLC poznamenali, že problém je v rozbaľovači formátu OGG (CVE-2019-14438) čítalo z oblasti mimo medzipamäte (pretečenie medzipamäte na čítanie), ale bezpečnostní výskumníci, ktorí objavil tvrdenie o zraniteľnosti, že je možné spôsobiť pretečenie zápisu a organizovať vykonávanie kódu pri spracovaní súborov OGG, OGM a OPUS pomocou špeciálne vytvoreného bloku hlavičiek.
Existuje aj zraniteľnosť (CVE-2019-14533) vo vybaľovači formátu ASF, ktorý umožňuje zápis dát do už uvoľnenej oblasti pamäte a dosiahnite vykonávanie kódu skenovaním dopredu alebo dozadu na časovej osi pri prehrávaní súborov WMV a WMA.
Vydaniam CVE-2019-13602 (integer overflow) a CVE-2019-13962 (čítanie z oblasti mimo medzipamäte) bola tiež pridelená kritická úroveň nebezpečenstva (8.8 a 9.8), ale vývojári VLC s tým nesúhlasili a domnievajú sa, že tieto zraniteľnosti nie sú nebezpečné (navrhnite zmeniť úroveň na 4.3).
Medzi opravy, ktoré nesúvisia so zabezpečením, patrí odstránenie koktania pri sledovaní videí s nízkou snímkovou frekvenciou vylepšiť podporu pre adaptívne streamovanie (vylepšený kód vyrovnávacej pamäte).
Pomáhajú tiež riešiť problémy s vykresľovaním titulkov WebVTT, zlepšujú zvukový výstup na platformách macOS a iOS.
Aktualizoval sa aj skript na stiahnutie z YouTube, ktorý vyriešil problémy s používaním Direct3D11 na použitie hardvérovej akcelerácie v systémoch s niektorými ovládačmi AMD.
Ako nainštalovať VLC Media Player 3.0.8 na Linux?
Pre tých, ktorí sú Používatelia Debianu, Ubuntu, Linux Mint a derivátov, stačí do terminálu napísať nasledovné:
sudo apt-get aktualizácia sudo apt-get nainštalovať vlc browser-plugin-vlc
Na chvíľu Tí, ktorí sú používateľmi Arch Linuxu, Manjaro, Arco Linuxu alebo akejkoľvek distribúcie odvodenej od Arch Linuxu, musíme napísať:
sudo pacman -S vlc
Ak ste používateľom distribúcie KaOS Linux, príkaz na inštaláciu je rovnaký ako v prípade Arch Linux.
Teraz pre tých, ktorí sú používatelia ktorejkoľvek verzie openSUSE, musia na inštaláciu nainštalovať iba nasledovné:
sudo zypper nainštalovať vlc
Pre tých, ktorí sú používateľmi Fedory a akejkoľvek ich derivácie, musia zadať nasledovné:
sudo dnf install https://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-$(rpm -E% fedora) .noarch.rpm sudo dnf install vlc
na zvyšok distribúcií Linuxu, môžeme tento softvér nainštalovať pomocou balíkov Flatpak alebo Snap. Na inštaláciu aplikácií týchto technológií musíme mať iba podporu.
Si chcete nainštalovať pomocou Snapu, musíme do terminálu napísať nasledujúci príkaz:
sudo snap install vlc
Ak chcete nainštalovať kandidátsku verziu programu, postupujte takto:
sudo snap nainštalovať vlc --candidate
Nakoniec, ak chcete nainštalovať beta verziu programu, musíte napísať:
sudo snap nainštalovať vlc --beta
Ak ste si nainštalovali aplikáciu z programu Snap a chcete aktualizovať na novú verziu, stačí napísať:
sudo snap obnoviť vlc
Nakoniec pre qTí, ktorí chcú inštalovať z Flatpaku, to urobia pomocou nasledujúceho príkazu:
inštalácia flatpak --user https://flathub.org/repo/appstream/org.videolan.VLC.flatpakref
A ak už boli nainštalovaní a chcú aktualizovať, musia napísať:
flatpak - aktualizácia používateľa org.videolan.VLC